OPNsense Forum
International Forums => German - Deutsch => Topic started by: shadesh on April 07, 2018, 02:09:00 pm
-
Hallo Zusammen,
als stiller und meistens ;) zufriedener OPNSense Anwender hab ich heute ein Problem dem ich nicht so recht auf die Schliche komme. Ich nutze das "Track Interface" Feature um auf meine internen Interfaces IPv6 Netze zu binden, das funktioniert auch soweit, nur verteilt scheinbar der RADVD seine eigene (OPNSense Box) IPv6 Adresse als DNS Server. Wie kann ich das verhindern? Ich nutze kein DHCPv6 und keine DNS Dienste auf der OPNSense Box, alle IPv4 DNS Server sind intern und OPNSense nutzt diese auch.
Danke und Grüße
Shade
-
Hi Shade,
Klingt so als wäre Unbound oder Dnsmasq noch an, der müsste dann ausgeschaltet werden und dann werden die DNS Server weitergegeben die entweder eingetragen wurden oder vom ISP kommen.
Grüsse
Franco
-
Hi Franco,
danke für deine Rückmeldung, das scheint es leider nicht zu sein. Beide Resolver / Forwarder sind und waren nicht aktiv. Zumindest nicht laut Webinterface, die Shell sagt auch nichts zu etwaigen DNS / Unbound Prozessen.
Grüße
Shade
-
Hi Shade,
Komisch, es geht um den RDNSS Eintrag in /var/etc/radvd.conf -- richtig? Welche Version verwendest du?
Grüsse
Franco
-
# Automatically Generated, do not edit
# Generated config for dhcp6 delegation from wan on opt1
interface re1_vlan2 {
AdvSendAdvert on;
MinRtrAdvInterval 3;
MaxRtrAdvInterval 10;
AdvLinkMTU 1500;
AdvOtherConfigFlag on;
prefix 2001:4c50:****:****::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
DNSSL <domain.tld> { };
};
# Generated config for dhcp6 delegation from wan on lan
interface re1 {
AdvSendAdvert on;
MinRtrAdvInterval 3;
MaxRtrAdvInterval 10;
AdvLinkMTU 1500;
AdvOtherConfigFlag on;
prefix 2001:4c50:****:****::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
DNSSL <domain.tld> { };
};
Version ist: OPNsense 18.1.5-amd64
In beiden Netzen (Default VLAN 1 und VLAN 2) werden die jeweils eigenen IPv6 Interfaceadressen als DNS Server verteilt. Es läuft jedoch kein Prozess der auf :53 hört.
-
Deswegen:
DNSSL <domain.tld> { };
?
Grüsse
Franco
-
PS: Suboptimal ist, dass hier keine Server eingetragen werden die vom ISP kommen. Kann es sein, dass her das den Betrieb stört?
-
Ich hab bisher keine Problem feststellen können, ausser dass der verteilte DNS Server auf jedem Client in ein Reject rennt. Die Domain hab ich schon rausgenommen, hat keine Änderung gebracht.
-
Hi Shade,
Entweder macht das Radvd automatisch, denn es ist ja kein Server angegeben, oder der Client nimmt dies an weil die Info fehlt? Ist unter System: General ein IPv6 Server hinterlegt?
Grüsse
Franco
-
Da stehen nur die 2 internen IPv4 DNS Server drin.
-
Okay, mit IPv6 DNS Server(n) in der Liste sollten dann auch die Clients davon erfahren? :)
Grüsse
Franco
-
Jup steht dann auch in der resolv.conf meines Macs.
Hat denn sonst niemand das Problem bzw. gabs das bisher noch nie?
-
Ich glaube das Problem existiert eigentlich nicht, zumindest gibt es keine operativen Auswirkungen. Entweder es werden Server übergeben oder keine. Ob jetzt der Client selbst oder Radvd als Server annimmt da keine DNS IPs da sind kann der Server einfach so als DNS angenommen werden entsteht der Eindruck als wäre das falsch übergeben. Generell würde ich sogar vermuten es ist der Client der dies annimmt, denn warum sollte der Server sich als DNS Server outen, wenn er dies gar nicht in der Konfiguration hat? :)
Grüsse
Franco
-
Moin,
Das ist in diesem konkreten Fall wohl eher ein Bug in der dhcpd6-Konfiguration.
Auf mit "Track Interface" konfigurierten LAN-Interfaces ist der dhcpd6 immer aktiv. Das ist grundsätzlich sinnvoll, da manche Clients mit den RDNSS- und DNSSL-Optionen in RAs nichts anfangen können und für diese Infos auf DHCPv6 angewiesen sind. DHCPv6 und Router Advertisements lassen sich für Track-Interfaces allerdings nicht manuell konfigurieren (dazu gibt es ein Feature Request (https://github.com/opnsense/core/issues/2314)).
Der Bug ist nun, dass in der dhcpdv6.conf für Track-Interfaces immer die jeweilige Interface-Adresse als DNS-Server eingetragen wird, auch wenn unbound und dnsmasq deaktiviert sind. Über System / Settings / General konfigurierte IPv6-DNS-Server werden zwar in die dhcpdv6.conf übernommen, die Interface-Adresse bleibt bei Track-Interfaces aber immer zusätzlich stehen. Shades Clients lernen diese ungültige DNS-Adresse also höchstwahrscheinlich über DHCPv6, nicht über Router Advertisements.
Ist ein weiterer Bug bei der Konfiguration von DNS- und Domänen-Optionen für dhcpd6 und radvd. Habe das neulich mal genauer analysiert und hier aufgeschrieben (https://github.com/opnsense/core/issues/2336), die Liste ist aber offensichtlich noch nicht vollständig.
Grüße
Maurice
-
Hallöchen,
Besser spät als nie. Ich hab mich zwar auf die Aussage "Ich nutze kein DHCPv6" verlassen, aber scheinbar gibt es genau hier das von Maurice beschriebene Problem:
https://github.com/opnsense/core/commit/5e41585d
Zu Testen mit:
# opnsense-patch 5e41585d
Grüsse
Franco